1 引言
隨著互聯網的不斷擴大,越來越多不同種類的網絡被連接起來。網絡管理人員所面對的一個任務越來越顯得緊迫和棘手,這就是在允許正當訪問的同時,如何拒絕那些不受歡迎的連接,因為它們大多對我們的重要設備和數據具有危險性。訪問控制列表可以通過對網絡數據流量的控制,過濾掉有害的數據包,從而達到執行安全策略的目的。但在傳統的訪問控制列表中,如果處于路由器不可信任端的用戶需要訪問內部網絡的資源,就必須永久性地在訪問控制列表中開啟一個突破口,以允許這些用戶工作站上的報文進入可信任網絡,這些永久性的突破口給不安全報文進入安全邊界并達到內部網絡提供了機會,而動態訪問控制列表能使指定的用戶獲得對受保護資源的臨時訪問權,從而提供更高的安全級別。國內在傳統的訪問控制列表方面開展了大量的研究,包括訪問控制列表的闡述、配置和優化等,但動態訪問控制列表具體應用的相關文獻并不多見,本文在這方面作了初步的探索。
2 動態訪問控制列表原理
動態ACL使用擴展ACL過濾IP流量。當配置了動態ACL之后,臨時被拒絕掉的IP流量可以獲得暫時性的許可。動態ACL臨時修改路由器接口下已經存在的ACL,來允許IP流量到達目標設備,之后動態ACL把接口狀態還原。通過動態ACL獲得目標設備權限的用戶,首先要開啟到路由器的Telnet會話,接著動態ACL自動對用戶進行驗證,如果驗證通過,那么用戶就獲得了臨時性的訪問權限。
動態ACL一般用于控制外網用戶對內網服務器的訪問,如圖1所示,當Internet上的用戶需要訪問內網的服務器時,外網用戶需要先向路由器發起一個Telnet會話,并且提供相應的用戶名和密碼。在用戶被驗證之后,路由器將一個臨時的ACL語句添加到動態ACL中,并且關閉Telnet會話。動態添加的ACL對被驗證用戶工作站地址進行授權,當條目超時后,刪除ACL中添加的臨時條目。
圖1 動態ACL原理示意圖
3 實現動態訪問控制列表的方法
3.1 網絡拓撲圖、接口設置及IP分配
實驗模擬拓撲圖如圖2所示,ISP_Router 、Checking_Router和EntERPrise_Router均為Cisco Catalyst2621型路由器,Switch1為Cisco Catalyst2950型二層交換機。路由器、服務器及主機的接口設置和IP地址分配如表1所示,其中ISP_Router的Fa0/0接口與外網用戶相連,Serial1/0接口與Checking_Router的Serial1/0相連;而EntERPrise_Router的Fa0/0接口與Checking_Router的Fa0/0相連,其余的Fa1/0、Fa0/1和Fa1/1則分別連接到Switch1、DNS服務器及WWW服務器。設置ISP_Router為DCE,Checking_Router為DTE。
圖2 實驗模擬拓撲圖
表1 路由器接口是指及服務器、主機IP地址分配表
3.2 網絡基本配置
采用“ip address”命令分別配置外網、內網路由器以及驗證路由器的接口IP地址,Cisco路由器的所有接口在默認情況下都是關閉的,需采用“no shutdown”命令來開啟;外網ISP_Router路由器設置為DCE,需采用“clock rate”命令來配置時鐘頻率,同時使用路由信息協議RIP來實現網絡中不同網段之間的相互通信;在內網EntERPrise_Route路由器中通過動態主機分配協議DHCP來實現內部主機IP地址的動態分配;配置DNS服務器的IP地址為192.168.2.1,其默認網關指向Enterprise_Route路由器的Fa0/1接口,將域名www.lqp.com解析對應的IP地址,如圖3所示。配置WWW服務器的IP地址為192.168.3.1,其默認網關指向Enterprise_Route路由器的Fa1/1接口。在WWW服務器中制作與http://www.lqp.com相關聯的一個簡單網頁index.html,如圖4所示,以此作為外網主機通過動態ACL技術訪問內網Web頁面的驗證。具體的配置請參考相關資料,不再贅述。
圖3 DNS服務器的設置
圖4 WWW服務器中制作的Web頁面
3.3 配置內、外網的遠程登錄功能
在全局模式下配置外網ISP_Router路由器及內網Enterprise_Router路由器的VTY密碼和特權密碼,分別為OuterNet和IntraNet,以允許遠程登錄,配置命令以ISP_Router路由器為例進行說明,如圖5所示。同時在ISP_Router路由器和Enterprise_Router路由器上分別telnet對方,結果均成功,如圖6和圖7所示。
圖5 ISP_Router路由器的遠程登錄配置命令
圖6 外網路由器telnet內網路由器的結果
圖7 內網路由器telnet外網路由器的結果
3.4 配置動態ACL
全局模式下,在Checking_Router路由器上配置動態ACL,配置命令和相關解析如下:
1)Checking_Router(config)# access-list 100 permit tcp any host 202.101.172.1 eq 23! 允許外網telnet Checking_Router路由器進行身份驗證
2)Checking_Router(config)# access-list 100 permit tcp any host 202.101.172.1 eq 3001! 允許外網telnet Checking_Router路由器的3001端口進行管理
3)Checking_Router(config)# access-list 100 dynamic LQP123 timeout 120 permit ip any any !創建動態ACL,命名為LQP123。語句中第一個any關鍵字將被通過驗證的用戶IP地址替代,第二個any代指內網所有主機。timeout是絕對時間,為120分鐘
4)Checking_Router(config)# user LQP456 password LQP456 !創建用戶LQP456和密碼LQP456,用于身份驗證
5)Checking_Router(config)# line vty 0 3 !虛擬終端用戶0、1、2、3
6)Checking_Router(config-line)# login local !使用Checking_Router路由器本地的用戶名和密碼進行驗證
7)Checking_Router(configline)# autocommand access-enable host timeout 5 !語句中的host參數表示主機的源IP地址替換動態ACL中的any關鍵字,timeout指空閑時間,為5分鐘
8)Checking_Router(config-line)# line vty 4!虛擬終端用戶4
9)Checking_Router(config-line)# login local
10)Checking_Router(config-line)# rotary 1!設置vty 4號線路為管理員使用telnet對Checking_Router路由器進行管理,telnet端口為3001
11)Checking_Router(config-line)# interface serial 1/0! Checking_Router路由器的串行接口
12)Checking_Router(config-if)# ip access-group 100 in!在Checking_Router路由器的Serial1/0接口上應用動態ACL
3.5 驗證動態ACL
1)在外網ISP_Router路由器上telnet內網Enterprise_Router路由器,不能成功,結果如圖8所示:
圖8 配置動態ACL后,外網路由器telnet內網路由器的結果
這是因為ISP_Router路由器去往Enterprise_Router路由器的telnet數據包進入Checking_Router路由器的serial1/0接口時,被Checking_Router路由器的ACL100拒絕。同理,Enterprise_Router路由器去往ISP_Router路由器的流量沒有問題,但返回的流量進入Checking_Router路由器的serial1/0接口時,被拒絕。
2)在ISP_Router路由器上telnet Checking_Router路由器的外網接口202.101.172.1,要求驗證。輸入用戶名LQP456和密碼LQP456,驗證通過,telnet會話自動被終止。在ISP_Router路由器上再次telnet Enterprise_Router路由器,遠程登錄成功,結果分別如圖9、圖10所示。Enterprise_Router路由器此時也同樣能成功登錄ISP_Router路由器。
圖9 外網路由器telnet Checking_Router
圖10 驗證后,遠程登錄成功
3)外網主機訪問內網Web頁面,結果如圖11所示。
圖11 配置動態ACL后,外網用戶通過域名訪問內網Web頁面
4)查看Checking_Router路由器的ACL,結果如下所示。
Checkin_Router#show access-lists
Extended IP access list 100
permit tcp any host 202.101.172.1 eq telnet(60 matches)
permit tcp anyhost 202.101.172.1 eq 3001
Dynamic LQP123 permit ip any any
permit ip host 202.101.172.2 any (102 matches)(time left 281)
從以上的輸出結果可以看出,最后一行是動態ACL產生的一個條目,該條目再過281秒將被刪除。有任何符合“permit ip host 202.101.172.2 any”的流量,都會刷新該計時器,如果沒有任何流量來刷新計時器,那么這個動態條目將在281秒后被刪除。
4 結束語
動態訪問控制列表是對傳統訪問控制列表的一種功能增強,通過使用動態訪問控制列表,不僅為授權用戶提供了一個訪問受保護網絡的通道,還可以有效阻止未授權用戶的訪問和網絡攻擊,因此研究動態訪問控制列表在企業網絡上的應用具有一定的現實意義。文章設計了模擬拓撲圖,給出了路由器、服務器等的接口設置、IP地址分配以及配置命令,對使用動態訪問控制列表前后的結果進行了測試和對比分析,并在實際的網絡設備上進行了實驗驗證,為動態訪問控制列表在實際網絡上的應用提供了參考依據。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:動態訪問控制列表在企業網中的實現